Начальная настройка
Добавлено: 15 авг 2017, 19:16
Добрый день, в наличии RouterBOARD 3011UiAS, версия софта 6,4
Вопрос наверное банальный, но честно запутался. Пока что изучаю.
Первоначальная настройка роутера.
Сделал nat
А какие базовые правила fw прописать? Дабы выпустить локальную сеть в интернет? И обеспечить "базовую" защиту роутера?
Т.е. что бы пользователи попали в интернет, а из вне ничего не могло пробиться?
Идея такая, сделать некие "базовые" правила с помощью сообщества, а дальше уже изучать на "живую", добавляя различные разрешающие правила (пробросы и т.п.).
Гугл даёт много мануалов первоначальной настройки, например вот такой.
- - Разрешаем пинг для цепочек input и forward
/ip firewall filter
add chain=input protocol=icmp action=accept comment=”Allow Ping”
add chain=forward protocol=icmp action=accept
- - Разрешаем успешно установленные соединения для цепочек input и forward
add chain=input connection-state=established action=accept comment=”Accept established connections”
add chain=forward connection-state=established action=accept
- - Разрешаем родственные соединения для цепочек input и forward
add chain=input connection-state=related action=accept comment=”Accept related connections”
add chain=forward connection-state=related action=accept
- - Запрещаем недействительные соединения для цепочек input и forward
add chain=input connection-state=invalid action=drop comment=”Drop invalid connections”
add chain=forward connection-state=invalid action=drop
- - Разрешаем UDP протокол для цепочек input и forward
add chain=input protocol=udp action=accept comment=”Allow UDP”
add chain=forward protocol=udp action=accept
- - Разрешаем выход в интернет для нашей локально сети
add chain=forward src-address=192.168.0.0/24 out-interface=WAN action=accept comment=”Access to Internet from local network”
- - Ограничиваем доступ к нашему роутеру, только адресами нашей локально сети
add chain=input src-address=192.168.0.0/24 action=accept comment=”Access to Mikrotik only from our local network”
- - запрещают прохождение всех остальных пакетов
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop
Не будет ли более простым сделать всего несколько правил, которое разрешит просто выходить в интернет из-за ната из всей локальной сети, а все остальные соединения "зарубит" ?
Типа вот этого
add chain=forward src-address=192.168.0.0/24 out-interface=WAN action=accept comment=”Access to Internet from local network”
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop
\\ кстати можно всего одно правило дропа сделать или обязательно дроп для input и дроп для forward ??
Вопрос наверное банальный, но честно запутался. Пока что изучаю.
Первоначальная настройка роутера.
Сделал nat
А какие базовые правила fw прописать? Дабы выпустить локальную сеть в интернет? И обеспечить "базовую" защиту роутера?
Т.е. что бы пользователи попали в интернет, а из вне ничего не могло пробиться?
Идея такая, сделать некие "базовые" правила с помощью сообщества, а дальше уже изучать на "живую", добавляя различные разрешающие правила (пробросы и т.п.).
Гугл даёт много мануалов первоначальной настройки, например вот такой.
- - Разрешаем пинг для цепочек input и forward
/ip firewall filter
add chain=input protocol=icmp action=accept comment=”Allow Ping”
add chain=forward protocol=icmp action=accept
- - Разрешаем успешно установленные соединения для цепочек input и forward
add chain=input connection-state=established action=accept comment=”Accept established connections”
add chain=forward connection-state=established action=accept
- - Разрешаем родственные соединения для цепочек input и forward
add chain=input connection-state=related action=accept comment=”Accept related connections”
add chain=forward connection-state=related action=accept
- - Запрещаем недействительные соединения для цепочек input и forward
add chain=input connection-state=invalid action=drop comment=”Drop invalid connections”
add chain=forward connection-state=invalid action=drop
- - Разрешаем UDP протокол для цепочек input и forward
add chain=input protocol=udp action=accept comment=”Allow UDP”
add chain=forward protocol=udp action=accept
- - Разрешаем выход в интернет для нашей локально сети
add chain=forward src-address=192.168.0.0/24 out-interface=WAN action=accept comment=”Access to Internet from local network”
- - Ограничиваем доступ к нашему роутеру, только адресами нашей локально сети
add chain=input src-address=192.168.0.0/24 action=accept comment=”Access to Mikrotik only from our local network”
- - запрещают прохождение всех остальных пакетов
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop
Не будет ли более простым сделать всего несколько правил, которое разрешит просто выходить в интернет из-за ната из всей локальной сети, а все остальные соединения "зарубит" ?
Типа вот этого
add chain=forward src-address=192.168.0.0/24 out-interface=WAN action=accept comment=”Access to Internet from local network”
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop
\\ кстати можно всего одно правило дропа сделать или обязательно дроп для input и дроп для forward ??